Uuteen Microsoft-aukkoon hyökätään
0
Microsoftin Internet Explorer -selaimesta on löytynyt erittäin kriittiseksi kuvailtu uusi turva-aukko, johon ei ole saatavissa korjausta. Microsoft myöntää, että aukkoa vastaan hyökätään internetissä, ja täysin paikatut koneetkin ovat vaarassa.
Useat tietoturvayhtiöt varoittavat haavoittuvuudesta. Esimerkiksi tanskalaisen Secunian mukaan kyseessä on erittäin kriittinen aukko, ja hyökkäyskoodia on jaossa internetissä. Aukko uhkaa Windows 2000-, Windows XP- ja Windows 2003 Server -käyttöjärjestelmiä. Myös esimerkiksi IBM Internet Security System varoittaa uhasta.
Käyttäjä täytyy houkutella nettisivuille
Microsoftin mukaan (varoitus) kyseessä on haavoittuvuus Xmlhttp 4.0 Activex Control -ohjelmakoodissa, joka on osa Microsoft Xml Core Services 4.0 -palveluita Windowsissa. Ohjelmakomponentin avulla Microsoftin sovelluskehitystyökalujen käyttäjät voivat laatia xml-pohjaisia sivuja.
Käytännössä tällä laajennuksella varustettu Explorer-selain on haavoittuvainen, ja turva-aukon kautta selaimessa voi ajaa hyökkääjän koodia, kunhan käyttäjä saadaan houkuteltua sopivasti muotoilluille nettisivuille.
Microsoftin mukaan hyökkäykset ovat olleet varsin rajallisia. US-Cert varoittaa, että hyökkäyksiä tehdään aktiivisesti.
Microsoftin virallinen päivityspäivä on kuukauden toinen tiistai, eli seuraavat päivitykset ovat näillä näkymin tulossa viikon päästä.
